У меня проблемы с пониманием, в чем проблема. Что-то не складывается.
Все началось с того, что сайт «www.taapcs.ca» не разрешался в нашей сети. Один из менеджеров спросил меня, почему это работает на его мобильном телефоне, а не в нашей сети.
Я выполнил nslookup и обнаружил, что у неавторизованного ответа был правильный IP-адрес, но когда я попытался получить авторитетный ответ, он не смог подключиться.
В неавторизованном ответе серверы имен отображались как ns5.newtekdns.com. Я мог пинговать этот хост, но при использовании «server ns5.newtekdns.com» в nslookup не смог подключиться, когда я выполнил запрос. Чтобы убедиться, что это не проблема с nslookup - я пробовал использовать telnetting на порту 53, но не установил соединение. Вместо этого истекло время ожидания.
Я думал, что решил проблему - их сервер имен не отвечал на DNS-запросы ... но потом все стало странно.
Я мог выполнять авторитетные поиски, когда пытался из других сетей, кроме моей, - но не из всех. ТАКЖЕ. Когда я просмотрел запись регистратора на CIRA (TLD для .ca) ... она показала, что сервер имен был "ns5.webcontrolcenter.com" ... и последней датой обновления в записи было "2017/05" / 17 "- почти год назад.
Это не имело смысла - как ns5.newtekdns.com вообще попал в неавторитетные записи ??
Итак, я немного погуглил и обнаружил, что в феврале были захвачены домены Newtek ... и одним из этих доменов был webcontrolcenter.com ...
Хорошо - объясняет, как webcontrolcenter.com вошел в микс ... но он все еще не объясняет, почему я получаю неавторитетные ответы ns5.newtekdns.com, когда TLD сообщает о ns5.webcontrolcenter.com ... и не объясните, почему я могу подключиться к DNS-серверу newtekdns.com, но только из определенных сетей ..
Я подумал, что, возможно, некоторые из интернет-провайдеров, которых я использовал, могут блокировать любые DNS-соединения, кроме своих DNS-серверов ... но у меня есть VPS на liquidweb, и у него тоже была эта проблема. Так что это кажется маловероятным.
Я также должен упомянуть, что ns5.webcontrolcenter.com не разрешается.
Это меня немного поставило в тупик ... Кажется, глупый мозг, но на данный момент я чувствую, что либо newtek пытается опередить TLD ... либо TLD имеют какой-то механизм защиты от взлома, который может переопределить SOA регистратора.
Может ли кто-нибудь пролить свет на это для меня?
Сначала взгляните на http://dnsviz.net/d/www.taapcs.ca/WuvNaw/dnssec/ : вы увидите это taapcs.ca
настроен совсем не правильно.
Конкретная ошибка:
Зона taapcs.ca: Следующие имена NS не разрешены для адресов: ns5.webcontrolcenter.com, ns6.webcontrolcenter.com
Дальше копать (!) Не надо: этот домен сломан. Он может работать или нет, но он точно настроен неправильно. Так что это должно быть исправлено его владельцем / обработчиком.
Что касается остальных вопросов / наблюдений, вы не указываете точно, какие запросы вы делаете и на какие серверы имен, поэтому трудно объяснить, что вы видите, потому что это даже не ясно. Вы можете попробовать несколько открытых рекурсивных серверов имен, чтобы узнать их мнение:
$ dig www.taapcs.ca A @8.8.8.8
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca A @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 32886
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.taapcs.ca. IN A
;; Query time: 86 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 03 22:08:17 EST 2018
;; MSG SIZE rcvd: 42
$ dig www.taapcs.ca A @9.9.9.9
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca A @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41973
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.taapcs.ca. IN A
;; Query time: 296 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu May 03 22:08:22 EST 2018
;; MSG SIZE rcvd: 42
$ dig www.taapcs.ca A @1.1.1.1
; <<>> DiG 9.10.3-P4-Debian <<>> www.taapcs.ca A @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54227
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1536
;; QUESTION SECTION:
;www.taapcs.ca. IN A
;; ANSWER SECTION:
www.taapcs.ca. 3600 IN A 216.119.109.200
;; Query time: 374 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri May 04 05:10:46 CEST 2018
;; MSG SIZE rcvd: 58
Обратите внимание на два SERVFAIL
, и действительно CloudFlare вместо этого отвечает IP и NOERROR
.
Я не знаю, как / где вы видите неавторитетные элементы:
$ dig www.taapcs.ca @any.ca-servers.ca A
; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.taapcs.ca @any.ca-servers.ca A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42958
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.taapcs.ca. IN A
;; AUTHORITY SECTION:
taapcs.ca. 86400 IN NS ns5.webcontrolcenter.com.
taapcs.ca. 86400 IN NS ns6.webcontrolcenter.com.
;; Query time: 45 msec
;; SERVER: 199.4.144.2#53(199.4.144.2)
;; WHEN: Thu May 03 22:16:55 EST 2018
;; MSG SIZE rcvd: 98